O documento discute engenharia reversa de binários ELF em GNU/Linux. Ele explica o que é engenharia reversa, aspectos legais, ferramentas para análise como strings e hte, exemplos de análise de um programa "Hello World" e de um cavalo de Tróia, empacotamento com upx, e oportunidades na área.

4. Se você já preencheu, ele já está aqui na urna

5. O ganhador deve estar presente até o quinto sorteio. Se não estiver presente ganhará o sexto sorteado

7. Em nosso foco, analisar um binário para estudar seu comportamento.

10. Troubleshooting

11. Adaptação de drivers de dispositivos

12. Análise de programas desconhecidos

13. Criar outro programa compatível com o formato ou protocolo utilizado pelo que sofrerá a ER

15. Formato e arquitetura conhecidos.

16. Instruções ASM conhecidas.

17. Editável.

18. Compactável e criptografável.

19. ELF (Executable and Linkable Format)

21. Dependente de fabricante

22. Simplesmente necessária

23. Existem softwares que tentam gerar código C a partir de ASM

24. Intel: mov eax, 0

25. AT&T: movl $0, %eax

26. Análise de um “Hello World” void main() { printf("FISL 11"); } $ gcc -o hello hello.c $ file hello ELF 64-bit LSB executable, x86-64, version 1 (SYSV)...

27. Análise de um “Hello World” $ strings -t x hello 200 /lib64/ld-linux-x86-64.so.2 309 __gmon_start__ 318 libc.so.6 322 puts 327 __libc_start_main 339 GLIBC_2.2.5 5ec FISL 11

28. Análise de um “Hello World” $ hte hello

29. Análise de um “Hello World” Demonstração

31. Execução linha a linha (ASM)

32. Bom suporte a plugins

33. Destinado a binários sem source

34. Ainda em desenvolvimento (precisando de doações)

35. Análise de um cavalo-de-tróia 1. void main() { 2. struct sockaddr_in srv; 2. int sockfd; 3. sockfd = socket(AF_INET, SOCK_STREAM, 0); 4. memset(&srv, 0, sizeof(struct sockaddr_in)); 5. srv.sin_addr.s_addr = INADDR_ANY; 6. srv.sin_port = htons(6666); 7. srv.sin_family = AF_INET; 8. bind(sockfd, (struct sockaddr*) &srv, sizeof(struct sockaddr)); 9. listen(sockfd, 4); 10. while (1) { } }

36. Análise de um cavalo-de-tróia $ strings -t x trojan 388 libc.so.6 392 socket 399 htons 39f listen 3a6 memset 3ad bind

37. Análise de um cavalo-de-tróia

38. Análise de um cavalo-de-tróia Demonstração

40. Pode resultar em obfuscação

41. Possui rotina de descompactação em memória.

42. Pode ser dumpado e ter o packer removido.

43. Packing $ ls -lh binario -rwxr-xr-x 106K binario $ upx --best binario $ ls -lh binario -rwxr-xr-x 49K binario

45. Pode resultar em obfuscação

46. Possui rotina de descompactação em memória.

47. Pode ser dumpado e ter o packer removido.

49. Packing

51. Packeado

52. Pode conter criptografia

53. Obfuscação e anti-debugger

54. Esconde strings

55. Pode ser necessária análise numa sandbox.

57. Continua sendo usada no desenvolvimento de drivers

58. Grande oportunidade na forense computacional

60. A indústria de anti-vírus investe milhões para se antecipar às ameaças.

61. Você é de segurança? Quer usar esse know-how para outra área? Inovação gera necessidade de ER.

62. Quer um hobby que evolua mais seu conhecimento em segurança?

64. Linux Assembly – asm.sourceforge.net

65. HT Editor – hte.sourceforge.net

66. EDB – codef00.com

68. Obrigado! @FernandoMerces [email_address] www.4linux.com.br www.hackerteen.com twitter.com/4LinuxBR Tel: 55-11-2125-4747

69. Construtor Assunto Data e Horário Luiz Vieira Segurança 22/07 às 10h00 e 23/07 às 11h00 Kinn C Julião Desenvolvimento PHP 22/07 às 11h00 e 23/07 às 12h00 Gustavo Maia Java, eXo Platform, Android 22/07 às 12h00 e 23/07 às 13h00 Fernando Merces Engenharia Reversa 22/07 às 13h00 e 23/07 às 14h00 Bruno Gurgel Alfresco, MediaWiki, BBB, Dimdim 22/07 às 14h00 e 23/07 às 15h00 Caio Candido LPI, Softwares de Acessibilidade 22/07 às 15h00 e 23/07 às 16h00 Débora Lavínia Marketing com Software Livre 22/07 às 16h00 e 23/07 às 17h00 César Domingos Business Intelligence 22/07 às 17h00 e 23/07 às 18h00 Fernando Lozano JBoss AS, Java, Portais 22/07 às 18h00 e 23/07 às 19h00 Rodrigo Tornis Postfix, Expresso 22/07 às 19h00 e 24/07 às 10h00 Anahuac P Gil Kyapanel, OpenLdap 23/07 às 10h00 e 24/07 às 11h00